2. 程式人生 > >強叔侃牆_出口選路_策略路由_基於源IP地址的策略路由

強叔侃牆_出口選路_策略路由_基於源IP地址的策略路由

阿新 發佈:2019-02-13

FW1為企業出口閘道器,通過不同ISP的兩條鏈路連線到internet,其中經過AR1的鏈路頻寬速率較高,假設為10Mbit/s,經過AR2的鏈路頻寬速率較小,為2Mbit/s。為保證企業管理者訪問Internet的使用者體檢,讓其訪問流量經過AR1鏈路進行轉發,而員工的訪問流量經過AR2的鏈路轉發。

示例(防火牆用USG5500)
防火牆FW1作為企業出口閘道器,通過兩條鏈路連線到Internet,其中經過AR1為isp1,經過AR2為isp2,訪問10.10.11.11從AR1走,訪問10.10.10.10從AR2走。
步驟
1、根據報文目的地址設定匹配條件
#acl number 3002
 rule 5 permit ip source 192.168.1.0 0.0.0.255
#
acl number 3003
 rule 5 permit ip source 192.168.10.0 0.0.0.255
#

2、配置策略路由
policy-based-route boss permit node 10
  if-match acl 3003
  apply ip-address next-hop 10.1.1.2
policy-based-route employee permit node 10
  if-match acl 3002
  apply ip-address next-hop 10.1.2.2
3、應用策略路由
interface GigabitEthernet0/0/1
 ip address 192.168.1.1 255.255.255.0
 ip policy-based-route employee

#
interface GigabitEthernet0/0/4
 ip address 192.168.10.1 255.255.255.0
 ip policy-based-route boss

注意事項
1、增加兩個安全區域
#
firewall zone name isp1
set priority 10
add interface GigabitEthernet0/0/2
#
firewall zone name isp2
set priority 20
add interface GigabitEthernet0/0/3
#

2、配置trust到isp1和isp2區域出方向安全策略
policy interzone trust isp1 outbound
 policy 1
  action permit
  policy source 192.168.10.0 0.0.0.255
#
policy interzone trust isp2 outbound
 policy 1
  action permit
  policy source 192.168.1.0 0.0.0.255
#

3、將g0/0/1和g0/0/4埠增加到trust區域

firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet0/0/1
 add interface GigabitEthernet0/0/4
#
4、FW1,AR1,AR2,AR3,之間用靜態路由實現互通。

驗證

PC1   和PC2 ping 10.10.10.10,檢視防火牆上的會話資訊。

<FW1>display firewall session table verbose 

  icmp  VPN:public --> public
  Zone: trust--> isp2  TTL: 00:00:20  Left: 00:00:01
  Interface: GigabitEthernet0/0/3  NextHop: 10.1.2.2  MAC: 00-e0-fc-59-1d-dd
  <--packets:3 bytes:276   -->packets:6 bytes:552
  192.168.1.2:1632-->10.10.10.10:2048

  icmp  VPN:public --> public
  Zone: trust--> isp1  TTL: 00:00:20  Left: 00:00:13
  Interface: GigabitEthernet0/0/2  NextHop: 10.1.1.2  MAC: 00-e0-fc-f8-13-51
  <--packets:3 bytes:276   -->packets:5 bytes:460
  192.168.10.2:4448-->10.10.10.10:2048

管理者(192.168.10.2)訪問server2的流量從AR1(10.1.1.2)連線的鏈路轉發的,而員工(192.168.1.2)從AR2(10.1.2.2)連線的鏈路轉發的,滿足

了優先順序高的流量走高速鏈路,優先順序低的流量走低速鏈路的使用者需求。

相關推薦

_出口_策略路由_基於IP地址策略路由

FW1為企業出口閘道器,通過不同ISP的兩條鏈路連線到internet,其中經過AR1的鏈路頻寬速率較高,假設為10Mbit/s,經過AR2的鏈路頻寬速率較小,為2Mbit/s。為保證企業管理者訪問Internet的使用者體檢,讓其訪問流量經過AR1鏈路進行轉發,而員工的

_第5章_GRE L2TP VPN_3

5.5 L2TP NAS-Initiated VPN 上節中我們講過,Client-Initiated VPN 可以讓企業員工像都授權一樣穿越“蟲洞”,來去自如地訪問總部網路。而企業分支機構就沒有幸運,它位一般通過撥號網路接入Internet,面對浩瀚的Internet海洋

NAT篇 NAT Server 三十二字真言(上篇)_實驗

拓撲結構     1,VPN配置 採用web方式配置。 FW1配置   FW2配置   Vpn 協商策略 security-policy rule name untrust2local_vpn

VPN篇 VPN技術簡介

強叔最近正在忙一件比較頭疼的事,那就是為分公司、辦事處、出差人員、合作單位解決訪問公司總部網路資源的問題,同時要求總部對分公司、辦事處訪問Internet進行控制。大家都知道這種情況需要用VPN(Virtual Private Network,虛擬私有網路)技術解決,但

collect huawei lan enter tid mod targe target .com https://forum.huawei.com/enterprise/forum.php?mod=collection&action=view&ctid=

IP

images height 之前 技術 idt 步驟 指定 ip層 流程 下圖是IP層處理數據報的基本流程 IP搜索路由表的幾個步驟:1) 搜索匹配的主機地址;2) 搜索匹配的網絡地址;3) 搜索默認表項(默認表項一般在路由表中被指定為一個網絡表項,其網絡號為0)。匹配主

BGP13條原則

bgp bgp13條選路原則 BGP選路原則最高有weight優先,默認為0(思科特有,選大的)本地優先級高的優先(只可以在IBGP鄰居之間傳遞)起源本路由器上的路由(network、aggregate-address)as-path最短的優先最小的起源代碼 (IGP 優先 EGP 優先 incomp

EIGRP

EIGRP選路實驗要求:R1的環回到R6的環回必須走R3, R5,來回路徑一致。並且R2,R4為冗余備份路徑。結果R1#traceroute 10.100.6.6Type escape sequence to abort.Tracing the route to 10.100.6.6VRF info: (vr

BGP的

BGP 選路 一、實驗要求:1、AS1去AS2走R22、AS2去AS1走R43、AS1去AS3走R64、AS2去AS3走R65、AS3去AS2走R56、AS3去AS1走R57、每個選路規則只能使用一次解決以上步驟的選路方法(事先沒有規劃):1、local-preference2、MED3、Weigh

38-高級路由:BGP:環路預防

text onf cbe 發生 mask 選路 ref access ffffff 一、實驗拓撲:Note:這裏只用R2、R3路由器二、實驗要求:1、R2身後增加Lo1:20.20.20.20,並宣告進BGP進程中;2、R3上部署靜態路由 出接口(必須是,否則有繼承現象發生

37-高級路由:BGP:優先級 R3 in方向

網段 mar rmi 匹配 4.0 efi 分享圖片 ffffff oca 一、實驗拓撲:二、實驗要求:基本要求:1、R1、R2、R3部署EIGRP 90,通告各自網段,R1、R2與R4直連的網段不通告;2、R1、R2、R3部署BGP AS 123,R4部署BGP AS

BGP的屬性和原則

優先級 comm 路由 還原 遞歸 之間 標示 sta 轉換 一、BGP 的路由優先問題BGP同步問題:通過IBGP學習路由必須通過IGP學習,否則路由不優;為了解決技術層面的路由黑洞問題,一般建立關閉,使用MPLS標簽轉換技術解決。下一條問題:next-hop下一跳屬性在

華為BGP med與preferred-value(local_pref)優先級測試

local acl 第一步 和我 發生 strong 0.10 優先級 解決辦法 實驗目的:1、比較BGP MED和preferred-value(local_pref)優先選路哪個參數(矛盾對抗)。2、R5上有5.5.5.5地址段,但是在R5 BGP上network5.

TCP/IP學習20180805-數據鏈層-IP

交付 規則 情況下 修改 認證 信息 組播 同時 決策 轉,原文鏈接https://blog.csdn.net/wh1511995112/article/details/51474692 IP選路 什麽是IP選路? IP選路,即IP尋路,就是根據路由表中的記錄,

代理小程序_飛躍小程序_無需代碼_對接代理小程序_免費試用

代理 下載 包含 展示 能夠 食品 jpg 登錄 廣告 最近對於炒的火熱的微信小程序,很多人很疑惑,很徘徊,很遲疑,什麽是小程序,為什麽要做小程序?小程序值得做嗎?小程序會成為趨勢嗎?小程序真的能夠為企業謀利嗎?小程序真的有那麽神奇嗎?對於小程序的困惑,小編剛開始也是這樣覺

華為BGP原則

不可達 優先 p地址 引入 ref 關閉 reference 相同 local BGP路由最優,在沒有過濾的情況下,有兩個條件相關:下一跳可達,同步關閉。如果不滿足此兩條件,則路由不優。 BGP選路原則: 如果此路由的下一跳不可達,忽略此路由 Preferred-Valn

使用本地優先級影響

code pro ota png 建立 peer 協議 做出 col 配置不同本地優先級會影響BGP的路由選擇,當一個運行BGP的路由器有多條路由到達同一目的地址時,會優選本地優先級最高的路由。缺省情況下,BGP本地優先級的值為100。本地優先級屬性僅在IBGP對等體之間交

使用協議首選值影響

source cal 5.5.0 src complete ocp 出口 stat 路由 prefVal:華為私有,僅在本地有意義,不會更新給鄰居,不能用於export方向。prefval的值默認是0,越大越優先。它的作用是用來影響自己的出站流量的,需要針對路由註入方向的

TCP/IP學習筆記(5)------IP

use 網絡通 icmp報文 子網掩碼 出現 很好 ref 命令 時間間隔 靜態IP選路 一個簡單的路由表 選路是IP層最重要的一個功能之一。前面的部分已經簡單的講過路由器是通過何種規則來根據IP數據包的IP地址來選擇路由。這裏就不重復了。首先來看看一個簡單的系統路由表。

資料鏈層與區域網_計算機網路原理第五章_自考本科段

概要:計算機網路原理第五章資料鏈路層與區域網小結 1、資料鏈路層服務 識記:資料鏈路層功能 (1)資料鏈路層功能:負責通過一條鏈路,從一個節點想另一個物理鏈路直接相連的相鄰節點,傳送網路層資料報,中間不經過其他仍和交換節點。實現物理鏈路直接項鍊的相鄰節點間的資料報傳輸。